¿Qué sería una buena verificación para eliminar todas las posibilidades de inyección de SQL en un ORDER BY col
donde col
es una variable no segura?
Actualmente estoy eliminando [^A-Za-z0-9_]
de la cadena en php. ¿Es esto demasiado paranoico o tal vez no sea suficiente?
EDITAR:
Solo para aclarar: estoy buscando una manera de eliminar cualquier SQLi de un ORDER BY $unsafeVariable
, no una solución general de prevención de SQLi. Ya estoy usando las consultas preparadas y pdo :: quote cuando sea necesario, pero como tenía que incluir una variable no segura en una declaración order by
, pensé que pediría la opinión de alguien más.